通过联系分散的线索揭示犯罪软件格局剧变-Cisco.PDFVIP

2 0 1 6 年 7 月 7 日，星期四 通过联系分散的线索揭示犯罪软件格局剧变 作者：Nick Biasini 在6 月的几周内，威胁形势发生了变化。多个高度活跃的威胁突然消失，导致威胁格局出现 了前所未见的剧烈变化。如果只是从短期来看，有三周的互联网形势相对安全。到目前为止， Angler 漏洞攻击包尚未恢复活动，威胁形势似乎发生了永久性变化。本文将讨论与一个名为 Lurk 的银行木马相关的一系列事件，以及一个在整个犯罪软件格局中具有深远影响的注册者 帐户。 详细信息 犯罪软件是一种恶意软件，其唯一的目标就是获取金钱。这类恶意软件通常与一些规模最大， 而且攻击活动遍布全球的威胁相关，包括各种漏洞攻击包及其最常见的负载勒索软件。犯罪 软件的一个主要特性是不加区别地感染大量用户。它们偶尔会针对特定个人或组织，但是大 多数情况下是感染那些通过邮件、Web 或其他方法与威胁进行交互的用户。最近12 至18 个 月以来，勒索软件一直呈激增之势，所以制作并利用犯罪软件的犯罪分子非法获取的金钱也 大幅增加。正因如此，Talos 监测到的犯罪软件的类型和数量也在与日俱增。目前尚不清楚 各类犯罪软件与制作和运行这些犯罪软件的组织之间存在的联系。但是与犯罪软件相关的最 新消息以及威胁形势的一些重大变化表明，有史以来最大的威胁犯罪组织之一很可能已被击 溃，或者至少在较长一段时间内不会再有所活动。 拘捕公告 本月初，一个与恶意软件Lurk 有关的黑客组织在俄罗斯落网。Lurk 是一款银行木马病毒， 其攻击目标主要是俄罗斯的银行。由于该恶意软件仅在俄罗斯活动，所以并没有太多关于该 威胁的公开信息。Talos 在调查Bedep/Angler 攻击者时发现了一些有关Lurk 以及控制和命 令(C2) 域的蛛丝马迹，我们曾在今年2 月的卡巴斯基安全分析师峰会上讨论了这些发现，相 关公开信息请参阅此处。根据有关此次拘捕行动的公开数据，该黑客组织被指控从俄罗斯多 家银行共盗取了约4500 万美元。 Lurk 因为大量报道称此次拘捕行动与Lurk 相关，所以本文不再赘述技术层面的内容，而将侧重点 放在已确定的C2 基础设施。根据各种信息来源，我们编制了一份含有超过 125 个C2 域的 列表。 根据这些信息，我们开始调查这些域的Whois 记录，并发现了一些共性。在已发现的C2 域 中，约85% 都是注册到john[.]bruggink@yahoo[.]co[.]uk 这一个注册者帐户名下。已经看过 我们的Bedep 研究报告的读者应该很熟悉这个邮件地址，因为这是与Bedep 和Angler 相关 的注册者帐户关联的三个邮件地址之一。我们之所以特别关注此特定注册者帐户是因为它在 Angler 的后端通信中扮演着一定角色。我们发现了一个注册到该帐户的域 wittalparuserigh[.]com ，此域用于为其中一个Angler 漏洞攻击服务器传输的负载提供服务。 此外，我们还发现该域拥有与将用户重定向到Angler 实例关联的域，并且最终发现此域在一 些C2 基础设施上托管与Bedep C2 相同的“默认”网页，以下所示是其中一个示例。 Angler 的影响 目前可以确定的是，Lurk 与Angler 之间存在一定联系，我们至少可以确定大部分Lurk 都是 通过Angler 传输至俄罗斯境内的受害者。问题是，该漏洞攻击包是否会因为Lurk 而受到显 著显著影响。如果有，影响程度如何？我们发现，实际影响比我们预计的还要大。在黑客组 织落网后一周内，Angler 便已从威胁名单上消失。我们不妨插入一个题外话，来讨论一下这 个变化的重要意义。从盈利性、多产性、成功性和复杂性来看，Angler 堪称犯罪软件相关平 台之最。据我们过去的研究显示，该平台的使用者仅仅通过使用户感染勒索软件，每年就能 获得约6000 万美元的收入。 这并不是Angler 第一次消失，它最近一次消失是在今年年初（消失了数周）。然而，有其他 迹象表明，这次消失并不像年初那样短暂。最主要的迹象是在攻击入口方面。攻击入口是研 究漏洞攻击包活动的一个重要部分，因为攻击入口是负责诱使用户与漏洞攻击包进行交互的 机制。在这几周中，我们看到犯罪软件开始从Angler 大规模迁移至其他漏洞攻击包。从 EITest 到Neutrino 的迁移已有详细介绍。此外，笔者还发现自己在 Hack In The Box （黑客 暨安全大会）上谈到的攻击入口（影子入口）从Angler 迁移到Rig 和Neutrino。记得就在一 年多以前，笔者就曾发现该攻击入口被用于托管Angler 的证据，随后该攻击入口突然发生